Để có thể triển khai giải pháp nêu trên, nhóm thực hiện đề tài đề xuất kế hoạch triển khai gồm các công việc như sau:
Triển khai các biện pháp nhằm phát hiện sớm tấn công DDoS tại NOC/SOC. Triển khai các hệ thống phân tích lưu lượng cho hệ thống mạng VNNIC. Quy hoạch các thiết bị router có năng lực lớn, hỗ trợ BGP Flowspec client
làm RGW mạng VNNIC. Làm việc với các ISP nâng cấp tốc độ các đường kết nối uplink mạng VNNIC.
Cài đặt, cấu hình các máy chủ Exa BGP và tích hợp với các RGW theo mô hình.
Xây dựng quy trình VHKT giải pháp BGP Flowspec phòng chống DDoS. Hướng dẫn, phổ biến tại các NOC/SOC/nhóm ATBM.
KẾT LUẬN VÀ KIẾN NGHỊ
Bám theo các nội dung đăng ký của đề cương đề tài, nhóm chủ trì đề tài đã thực hiện nghiên cứu, xây dựng và triển khai hoàn chỉnh đề tài theo các nội dung:
- Phân tích hiện trạng nhu cầu phòng chống tấn công từ chối dịch vụ mạng VNNIC.
- Nghiên cứu tổng quan hình thức tấn công từ chối dịch vụ. - Nghiên cứu kỹ thuật BGP Flowspec.
- Triển khai thử nghiệm, đề xuất áp dụng kỹ thuật BGP Flowspec cho hệ thống mạng VNNIC.
Nhóm thực hiện đề tài mong muốn được tiếp tục nghiên cứu, triển khai áp dụng kỹ thuật BGP Flowpsec cũng như các giải pháp phát hiện, phòng chống tấn công DDoS cho hệ thống mạng VNNIC; nhằm góp phần tăng cường an toàn ổn định kết nối cho các hệ thống KTDV của Trung Tâm. Ngoài ra, một trong những hướng phát triển tiếp theo của đề tài là nghiên cứu áp dụng kỹ thuật BGP Flowspec cho hệ thống VNIX. Về mặt kỹ thuật, điều này hoàn toàn khả thi, hiện trên thế giới đã có AMS-IX triển khai.
Trong nội dung nghiên cứu không tránh khỏi những thiếu sót mong nhận được sự góp ý của hội đồng.
TÀI LIỆU THAM KHẢO [1] https://viettelidc.com.vn/bao-cao-tan-cong-tu-choi-dich-vu-ddos-quy-2-2017- tren-the-gioi.html [2] https://lp.incapsula.com/rs/804-TEY-921/images/2015- 16%20DDoS%20Threat%20Landscape%20Report.pdf [3] https://www.verisign.com/assets/infographic-ddos-trends-Q22017.pdf [4] https://telecombigdata.blogspot.com/2015/01/ddos-mitigation-using-flowspec- with.html [5] https://labs.ripe.net/Members/thomas_mangin/content-exabgp-new-tool-interact- bgp [6] https://www.netcraftsmen.com/bgp-flowspec-step-forward-ddos-mitigation/ [7] RFC 5575 – Dissemination of Flow Specification Rules
[8] https://supportforums.cisco.com/t5/service-providers-documents/asr9000-xr- understanding-bgp-flowspec-bgp-fs/ta-p/3139916 [9] https://supportforums.cisco.com/t5/xr-os-and-platforms/bgp-flowspec-server/td- p/3080075 [10] https://www.cisco.com/c/en/us/td/docs/ios- xml/ios/iproute_bgp/configuration/xe-3s/irg-xe-3s-book/bgp_flowspec_route- reflector_support.html [11] https://www.arbornetworks.com/blog/insight/2017-market-technology-leader- global-ddos-mitigation-market/ [12] https://www.chrisk.de/blog/2016/05/exabgp-4-0-getting-started [13] https://r2079.wordpress.com/2016/11/22/what-is-exa-bgp/ [14] Comparing DDoS Mitigation Techniques - C.J.T.M. Schutijser - University of Twente
[15] Cisco ASR 9000 vDDoS Protection Solution –White paper- Cisco [16] Playing with off-Ramp / On-Ramp - Ferran Orsola – Arbor
[18] BGP Flowspec(RFC5575) Case study and Discussion - Shishio Tsuchiya – Cisco
[19] Implementing BGP Flowspec – Cisco System [20] Flowspec compability between vendor lab – Ripe [21] Brocade Flow Optimizer Use Cases – Broadcade [22] https://www.corero.com/resources/glossary.html
PHỤ LỤC
I. PHỤ LỤC 01: Hướng dẫn cài đặt, cấu hình công cụ ExaBGP 3.3. Bước 1: Tải và cài đặt công cụ ExaBGP
• wget https://github.com/Exa-Networks/exabgp/archive/3.4.5.tar.gz • tar zxvf 3.4.5.tar.gz
• cd exabgp-3.4.5 • chmod +x setup.py • ./setup.py install
Kiểm tra lại quá trình cài đặt: /usr/bin/exabgp --h
3.4. Bước 2: Sửa nội dung của file config trong exaBGP như sau
cd usr/local/data/exabgp/configs sudo nano flowspec-conf.txt
neighbor 203.119.72.160 { ## Địa chỉ của flowspec neighbor router. router-id 203.119.72.159; ## Địa chỉ của Exa BGP Server
local-address 203.119.72.159; local-as 12346;
peer-as 12346;
process service-dynamic {
run /data/Indu/exabgp-3.4.5/etc/exabgp/processes/dynamic-1.sh; ## the script chứa các flow mà ta muốn quảng bá (announce) hoặc loại bỏ.
} }
3.5. Bước 3: Tạo file script có nội dung như sau:
#!/bin/sh
# ignore Control C
# if the user ^C exabgp we will get that signal too, ignore it and let exabgp send us a SIGTERM
trap '' SIGINT
# command and watchdog name are case sensitive while `true`;
do
echo "announce flow route {\\n match {\\n source 40.40.40.1/32;\\n destination 40.40.50.1/32;\\n }\\n then {\\n discard;\\n }\\n }\\n"
sleep 10
echo "announce flow route {\\n match {\\n source 80.80.80.1/32;\\n destination 80.80.80.1/32;\\n }\\n then {\\n discard;\\n }\\n }\\n"
Done
3.6. Bước 4: Chạy ExaBGP với file config như trên:
/data/Indu/exabgp-3.4.5/sbin/exabgp /data/Indu/exabgp- 3.4.5/etc/exabgp/flowspec_conf_dynamic.txt
3.7. Bước 5: Khi muốn inject 1 flowspec rule mới ta thực hiện như sau:
a) Thêm flowspec rule mới vào file script dynamic.sh:
echo "announce flow route {\\n match {\\n source 172.16.239.2/32;\\n destination 172.16.241.2/32;\\n }\\n then {\\n discard;\\n }\\n }\\n"
b) Tìm forked process-id của dynamic.sh và kill nó:
[root@BR-140 configs]# ps -aef | grep -i bgp | grep -v grep
nobody 19576 9574 0 10:53 pts/38 00:00:01 /usr/bin/python2.6 /data/Indu/exabgp- 3.4.5/lib/exabgp/application/bgp.py --folder /data/Indu/exabgp-3.4.5/etc/exabgp /data/Indu/exabgp-3.4.5/etc/exabgp/flowspec_conf_dynamic.txt
nobody 30642 19576 0 10:55 pts/38 00:00:00 /bin/sh /data/Indu/exabgp- 3.4.5/etc/exabgp/processes/dynamic.sh
& run kill -9 ## kill -9 30642
c) Trên router, thực hiện kiểm tra xem flowspec rule đã được thêm vào chưa:
RGW-VNNIC#show flowspec ipv4 AFI: IPv4
RGW-VNNIC#show bgp ipv4 flowspec sum | begin Neighbor
Neighbor Spk AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down St/PfxRcd 172.16.240.1 0 1 200 161 49 0 0 00:20:52 3
4. PHỤ LỤC 02: Hướng dẫn cấu hình trên router 4.1. Cấu hình trên RGW ISP
Interface GigabitEthernet0/0/0 description PeerRGW-VNNIC ip address 172.16.240.1 255.255.255.0 ipv6 enable ! Interface GigabitEthernet0/0/1 description To-PC01 ip address 172.16.239.1 255.255.255.0 ipv6 enable ! router bgp 12345 no bgp log-neighbor-changes neighbor 172.16.240.2 remote-as 12346
neighbor 172.16.240.2 description peerVNNIC address-family ipv4 network 172.16.239.0 mask 255.255.255.0 neighbor 172.16.240.2 active 4.2. Cấu hình trên RGW Interface GigabitEthernet0/0/0 description PeerRGW-ISP ip address 172.16.240.2 255.255.255.0 ipv6 enable ! Interface GigabitEthernet0/0/1 description To-PC02 ip address 172.16.241.1 255.255.255.0 ipv6 enable !
Interface GigabitEthernet0/0/2 description To-ExaBGP ip address 203.119.72.159 255.255.255.0 ipv6 enable ! router bgp 12346 no bgp log-neighbor-changes neighbor 172.16.240.1 remote-as 12345 neighbor 172.16.240.1 description peerISP address-family ipv4
network 172.16.241.0 mask 255.255.255.0 neighbor 172.16.240.1 active
4.3. Cấu hình RGW VNNIC BGP flowspec peering với ExaBGP Server
enable
configure terminal router bgp 12346
neighbor 203.119.72.160 remote-as 12346 address-family ipv4 flowspec
neighbor 203.119.72.160 activate exit